Information Security Awareness Marcus Beyer Senior Security Awareness Architect Hewlett-Packard (Schweiz) GmbH Sarah Ahmed Junior Security Awareness Consultant Hewlett-Packard (Schweiz) GmbH Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
2 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Das Risiko sitzt 50 Zentimeter vor dem Bildschirm, oder
im Zug, am Flughafen etc.
Bewusstsein für Sicherheit im Unternehmen Bewusstseins- Niveau bzw. Durchdringung Im Unternehmen Sicherheitsvorfall im Unternehmen Zeit
Fehlende Awareness: Gründe für Sicherheitslöcher in Unternehmen Fehlendes Bewusstsein der Mitarbeiter Fehlendes Bewusstsein im Management Kompetente Mitarbeiter fehlen Kontrolle unzureichend Vorhandene Konzepte werden nicht umgesetzt Praxisorientierte Sicherheitsberater fehlen 0 % 10 % 20 % 30 % 40 % 50 % 60 % 70 % Quelle: KPMG
Security Awareness als Kommunikationsmotor Security Mgmt. / Organisation Sicherheitsorganisation Anweisungen, Security Policies Communication, Education & Training Interne Kommunikation mit Fokus auf Sicherheit Verhaltensänderung & Sensibilisierung Technology IT-Security Unterstützung der Security durch technische Ressourcen Regulation und Absicherung Awareness
Persönliches Engagement Awareness Maturitätskurve Sicheres Verhalten Fehlerkultur / Akzeptanz Implementation (Fähigkeiten / Kenntnisse) Zusätzliches Engagement und Kulturaspekte im Unternehmen Überzeugung (positive Wahrnehmung/ Einstellung) Verstehen / Wissen Sensibilisierung Abgedeckt durch ISO 27001: A.7.2.2 Information security awareness, education and training Informationen Investment (Zeit, Budget, Ressourcen)
Ziele Richtiges Mitarbeiterverhalten bei Risiken und Vorfällen Akzeptanz für Benutzerweisung und Schutzmassnahmen Stärkung der IT und Informationssicherheit
HP Security Awareness Methodik Die wertvollsten Einsichten werden am spätesten gefunden, aber die wertvollsten Einsichten sind die Methoden. Friedrich Wilhelm Nietzsche
HP Security Awareness Vorgehensweise Erstellen eines Unternehmensprofils Awareness Assessment, inkl. GAP Analyse Awareness Maturity Level Report 1. Erstellen eines Awareness Profils 2.Awareness Planung Communication, Education & Training Konzept Awareness Verbesserungsplan Vergleich des Ist- Zustands und des angestrebten Soll- Zustands Anpassung & Optimierung, falls nötig 4. Optimierung 3. Transformation Entwurf, Produktion & Implementation der Maßnahmen Support des internen Kernteams
Security Awareness Portfolio
Beispiele von Security Awareness Kampagnen
Beispiel 1: SIX Group
Beispiel 2: IWC
Beispiel 3: ZHAW
HP Awareness Program Was ist Awareness? ist das Bewusstsein für Risiken und die Akzeptanz und das Wissen darüber, wie die Risiken mit technischen und organisatorischen Mitteln minimiert werden können. Akzeptanz gegenüber Neuem! beschreibt die Kultur im Unternehmen, innerhalb derer Mitarbeitende nachhaltig risiko- und sicherheitsbewusst agieren. Service Übersicht Konzepterstellung, Planung, Entwicklung und Implementierung einer Awareness Kampagne, zugeschnitten auf die Bedürfnisse des Kunden Onsite oder remote Unterstützung der Security Organisation. Project Management and Steuerung Messungen und Benchmarking Zielgruppen Alle Mitarbeitenden als Teil integrierter Kommunikation Unterstützung in der Umsetzung von Awareness Maßnahmen Was ist der Nutzen? Richtiges Mitarbeiterverhalten bei Risiken und Vorfällen Akzeptanz für Benutzerweisung und Schutzmaßnahmen Stärkung des Images von IT und Informationssicherheit sowie BCM Wettbewerbsvorteil durch einen aktiven Schutz von Know-how und ein positives Bewusstsein der Mitarbeitenden bezüglich Risiken, Sicherheit und BCM 18 Copyright 2013 Hewlett-Packard GmbH The information contained herein is subject to change without notice.
«When planning for a year, plant corn. When planning for a decade, plant trees. When planning for life, train and educate people.» Chinese Proverb
HP Security Awareness Team Marcus Beyer Sarah Ahmed Armin von Werner Martin Rapp Security Awareness Consultant Security Awareness Consultant Security Consultant Project Manager & Security Consultant marcus.beyer@hp.com sarah.ahmed@hp.com armin.vonwerner@hp.com martin.rapp@hp.com
Vorgehensweise Initialer Awareness Workshop (HP Consultants & interdisziplinäres Kernteam des Kunden) mit Vertretern aus Human Resources, Legal Compliance, User Help Desk, Corporate Communication, Information Security Organisation Konzeption & Planung der Awareness Kampagne Messung, Analyse und Benchmarking der Sicherheitskultur Implementation der Kampagne (inkl. Erstellung & Produktion der Massnahmen)
Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.